Российский университет дружбы народов им. Патриса
Лумумбы, Москва, Россия
Докладчик
Козлов В.П., Гаинэ А., Шуваев С., Джахангиров И.З, Хватов М.Г.
НФИбд-02-22
Российский университет дружбы народов
Выполнение лабораторной работы
Цель работы
Отработка на практике методов обнаружения, анализа и нейтрализации
многоэтапной компьютерной атаки, направленной на кражу
научно-технической информации предприятия, с использованием учебного
программного комплекса «Ampire».
Задание
Обнаружить подбор пароля к файловому серверу и последующую загрузку
вредоносного файла.
Выявить бэкдор на рабочей станции через анализ планировщика задач и
запущенных процессов.
Зафиксировать кражу учётных данных (например, с помощью утилиты
LaZagne) и их использование для доступа к Redmine.
Проанализировать XSS-атаку в Redmine, которая привела к включению
REST API и созданию привилегированного пользователя.
Обнаружить слепую SQL-инъекцию, используемую для извлечения
конфиденциальных данных из базы данных.
Устранить уязвимости: пропатчить Redmine от XSS (CVE-2019-17427) и
SQL-инъекции (CVE-2019-18890), усилить политику паролей.
Активировали WireGuard и зашли на сайт платформы
Установка Chocolatey
На сайте ViPNet IDS NS просмотрели атакованные ip-адреса и суть
атак
Атакованные ip-адреса
Добавили карточку инцидента Weak Password
Карточка инцидента Weak
Password
Добавили карточку инцидента XSS
Карточка инцидента XSS
Добавили карточку инцидента SQL-injection
Добавили карточку инцидента
SQL-injection
Атака XSS. Открыли на редактирование файл redcloth3.rb атакованного
ip-адреса
Файл redcloth3.rb атакованного
ip-адреса
Атака XSS. Удалили тег pre из разрешенных тегов, которые не будут
экранированы
Удаление тега
Атака XSS. Перезапустили службу веб-сервера: sudo systemctl restart
nginx.service
Перезапуск службы
веб-сервера
Последствия XSS. Удалили пользователя hacker
Удалиление пользователя
hacker
Атака SQL-инъекция. Открыли файл query.rb на редактирование на
10.10.2.15
Файл query.rb
Атака SQL-инъекция. Отредактировали query.rb, заменив each на
map
Редактирование query.rb
Атака SQL-инъекция. Перезапустили nginx
Перезапуск nginx
Атака Weak Password. Зашли на MS Active Directory
MS Active Directory
Атака Weak Password. Сбросили пароль на dev1
Сброс пароля
Последствие Weak Password. Удалили Evil Task из планировщика
задач
Удаление Evil Task
Выводы
Отработали на практике методы обнаружения, анализа и нейтрализации
многоэтапной компьютерной атаки, направленной на кражу
научно-технической информации предприятия, с использованием учебного
программного комплекса «Ampire».